Connessione ad Amazon Athena utilizzando un endpoint VPC di interfaccia - Amazon Athena
Creazione di una policy di endpoint VPC per AthenaInformazioni sugli endpoint VPC nelle sottoreti condivise

Connessione ad Amazon Athena utilizzando un endpoint VPC di interfaccia

Puoi migliorare la posizione di sicurezza del VPC utilizzando un endpoint VPC di interfaccia (AWS PrivateLink) e un endpoint VPC di AWS Glue nel cloud privato virtuale (VPC). Un endpoint VPC di interfaccia migliora il livello di sicurezza offrendoti la possibilità di verificare quali destinazioni possono essere raggiunte dall'interno del VPC. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche (ENI) con indirizzi IP privati nelle sottoreti del VPC.

L'endpoint VPC di interfaccia connette il tuo VPC direttamente ad Athena senza alcun Internet gateway, dispositivo NAT, connessione VPN o connessione Direct Connect. Le istanze presenti nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con l'API Athena.

Per usare Athena tramite il VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la rete privata al VPC usando Amazon Virtual Private Network (VPN) o Direct Connect. Per informazioni su Amazon VPN, consulta Connessioni VPN nella Guida per l'utente di Amazon Virtual Private Cloud. Per informazioni su AWS Direct Connect, consulta Creazione di una connessione nella Guida per l'utente di Direct Connect.

Athena supporta gli endpoint VPC in tutte le Regioni AWS in cui sono disponibili Amazon VPC e Athena.

Puoi creare un endpoint VPC di interfaccia per connetterti ad Athena usando i comandi Console di gestione AWS o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Se dopo aver creato un endpoint VPC di interfaccia abiliti nomi host DNS privati per l'endpoint, l'endpoint di default di Athena (https://athena.Region.amazonaws.com) restituisce il tuo endpoint VPC.

Se non abiliti nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel formato seguente:

VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Athena supporta l'esecuzione di chiamate a tutte le sue operazioni API all'interno del VPC.

Puoi creare una policy per gli endpoint VPC di Amazon per Athena per specificare delle restrizioni come quelle seguenti:

  • Principale: il principale che può eseguire operazioni.

  • Operazioni: le operazioni che possono essere eseguite.

  • Risorse: le risorse sui cui si possono eseguire operazioni.

  • Solo identità affidabili: utilizza la condizione aws:PrincipalOrgId per limitare l'accesso solo alle credenziali che fanno parte della tua organizzazione AWS. Questo può aiutare a impedire l'accesso da parte di principali non desiderati.

  • Solo risorse affidabili: utilizza la condizione aws:ResourceOrgId per impedire l'accesso a risorse non desiderate.

  • Solo identità e risorse affidabili: crea una policy combinata per un endpoint VPC che aiuti a impedire l'accesso a principali e risorse non desiderate.

Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC e Appendice 2: esempi di policy degli endpoint VPC nel white paper di AWS Creazione di un perimetro di dati su AWS.

Esempio – Policy degli endpoint VPC

L'esempio seguente consente il passaggio di richieste da identità dell'organizzazione alle risorse dell'organizzazione e consente le richieste dai principali del servizio AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta Best Practice di sicurezza in IAM nella Guida per l'utente di IAM.

Informazioni sugli endpoint VPC nelle sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta la pagina Condivisione del VPC con altri account nella Guida per l'utente di Amazon VPC.